Зашёл на сайт — открыл ворота в инфраструктуру. Lazarus снова в деле
Watering hole-техника возвращается.
Эксперты «Лаборатории Касперского» выявили новую сложную целевую кампанию группы Lazarus. Злоумышленники атаковали организации в Южной Корее, используя два основных метода: сначала заражали системы через легитимные новостные сайты (техника watering hole), затем эксплуатировали уязвимость в южнокорейском программном обеспечении Innorix Agent, предназначенном для передачи файлов. Кампания получила название Операция SyncHole.
Под атаки попали как минимум шесть южнокорейских компаний из сфер программного обеспечения, ИТ, финансов, производства полупроводников и телекоммуникаций. Реальное число жертв может быть выше. Использованное в атаке программное обеспечение было обновлено, уязвимости устранены.
В процессе анализа кампании исследователи также обнаружили в Innorix Agent ещё одну уязвимость нулевого дня, которой злоумышленники не успели воспользоваться. Она позволяла загружать произвольные файлы. О находке оперативно сообщили Агентству по интернету и кибербезопасности Южной Кореи (KrCERT/CC) и вендору. Были выпущены необходимые обновления . Уязвимость получила идентификатор KVE-2025-0014 .
Атаки начинались с заражения легитимных новостных сайтов — ресурсы с большой аудиторией посещений использовались как приманка. Злоумышленники фильтровали трафик на стороне сервера и выборочно перенаправляли интересующих их пользователей на вредоносные сайты, откуда запускалась цепочка заражения.
На начальном этапе атак использовалась уязвимость первого дня в Innorix Agent — обязательном программном обеспечении для ряда финансовых и административных операций на южнокорейских сайтах. ПО установлено на множестве корпоративных и частных компьютеров, и любой пользователь с уязвимой версией мог стать жертвой. Эксплуатируя уязвимость, злоумышленники получали возможность продвигаться по внутренней сети и устанавливать вредоносные программы на целевые хосты. Среди них — бэкдор ThreatNeedle и загрузчик LPEClient, расширяющие возможности злоумышленников во внутренней инфраструктуре.
До обнаружения уязвимости в Innorix Agent исследователи уже зафиксировали использование ThreatNeedle и SIGNBT в корпоративной сети одной из южнокорейских компаний. Вредоносное ПО запускалось в памяти легитимного процесса SyncHost.exe как подпроцесс Cross EX — южнокорейского ПО, обеспечивающего работу защитных инструментов в браузерах.
Похожий подход был выявлен ещё в пяти организациях. В каждом случае заражение, предположительно, начиналось с уязвимости в Cross EX, которая впоследствии была подтверждена и устранена — соответствующее уведомление опубликовал KrCERT.